VPS 被入侵的常见信号:异常的对外流量、CPU 长期跑满、出现陌生进程、收到机房滥用通知。一旦怀疑被入侵,按下面的顺序处理。

1. 先确认是否真被入侵

last            # 最近登录记录,有没有陌生 IP
w               # 当前在线用户
ps aux --sort=-%cpu | head    # 高占用的可疑进程
ss -tunp        # 异常的对外连接
crontab -l; ls /etc/cron.*    # 可疑的定时任务

2. 立即处置

  • 必要时通过控制台限制网络或防火墙,切断对外连接(常用于挖矿/对外攻击)。
  • 立刻修改所有相关密码与密钥(root、面板、数据库)。
  • 结束可疑进程,删除可疑定时任务与启动项。

3. 找到入侵入口

最常见原因:弱密码 + 开放 SSH 密码登录、未更新的 Web 应用漏洞(WordPress 插件等)、泄露的密钥或 .env。检查 Web 访问日志和应用日志,定位被利用的点。

4. 彻底清理:优先重装

被入侵后,攻击者可能留有后门、rootkit,最稳妥的做法是备份好业务数据后重装系统,而不是逐个删木马。重装后再恢复干净的数据与配置。

5. 防止再次发生

  • SSH 密钥登录 + 禁用密码 + 非 root 用户。
  • ufw 防火墙最小化开放端口,安装 fail2ban。
  • 及时更新系统与所有 Web 应用、插件。
  • 定期备份,密钥与 .env 不入库、不外泄。

怀疑机器异常但不确定如何处置,可联系客服 Telegram @aliyun370 协助排查。